インターネットインフラ特論 ７．ＮＡＴ、ＤＨＣＰ

Presentation on theme: "インターネットインフラ特論 ７．ＮＡＴ、ＤＨＣＰ"— Presentation transcript:

1 インターネットインフラ特論 ７．ＮＡＴ、ＤＨＣＰ
太田昌孝 ftp://chacha.hpcl.titech.ac.jp/infra7.ppt

2 インターネットの構造 ＣＡＴＥＮＥＴモデル
多数の小さな（機器の数が少ない）データリンク層をＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）ルータで相互接続したもの

3 世の中 網 網 網 Ｇ Ｇ 網 Ｇ 網 網 Ｇ Ｇ ：網間接続装置 世の中とネットワーク層（インターネット以前）

4 世の中＝インターネット データ リンク層 データ リンク層 データ リンク層 Ｒ Ｒ データ リンク層 Ｒ データ リンク層 データ リンク層 Ｒ Ｒ ：ルータ ＣＡＴＥＮＥＴモデル

5 ＮＡＴ （Ｎｅｔｗｏｒｋ Ａｄｄｒｅｓｓ Ｔｒａｎｓｌａｔｏｒ、 ＲＦＣ１６３１）
ＮＡＴ　（Ｎｅｔｗｏｒｋ　Ａｄｄｒｅｓｓ Ｔｒａｎｓｌａｔｏｒ、　ＲＦＣ１６３１） インターネットとプライベートＩＰネットワークの境界に設置 少数のインターネットアドレスを管理 プライベートＩＰネットワーク中のアドレスをインターネットアドレスに（動的に）対応付け ＩＰｖ４アドレスの不足から生まれた考え インターネットと固定アドレスで通信する必要のあるホスト（サーバ）は多くない？

6 ダイアルアップとＮＡＴ ダイアルアップが優勢な時代には 常時接続時代には通用しない（はず） 一般利用者は断続的にインターネットに接続
一般利用者はクライアントしかもてない サーバは特別なＩＳＰが持つ（別料金）のが当然 常時接続している企業も サーバはごく少数で、ＮＡＴでアドレス節約 ＩＳＰがインターネットを支配 常時接続時代には通用しない（はず）

7 送信者 アドレス変換 インターネット 受信者 アドレス変換 プライベート ＩＰ網 ＮＡＴ装置 プライベートアドレス グローバルアドレス ＮＡＴの仕組み

8 世の中 ＩＰ網 ＩＰ網 ＩＰ網 Ｎ Ｎ ＩＰ網 Ｎ インター ネット ＩＰ網 Ｎ Ｎ ：ＮＡＴ装置 ＮＡＴとインターネット

9 ４バイト ４ ヘッダ長 ＴＯＳ パケット長 ＩＰ（３層）ヘッダ フラグメント管理 ＴＴＬ ４層プロトコル ヘッダーチェックサム 送信者アドレス 受信者アドレス オプション（可変長、普通は存在しない） 送信者ポート番号 受信者ポート番号 トランスポート （４層）ヘッダ トランスポートヘッダの残りとペイロード IPv4パケットフォーマット（ＲＦＣ７９１）

10 アプリケーション層 トランスポート層 インターネットワーキング層 データリンク層 物理層 インターネットのレイヤリング構造

11 アプリケーション層 アプリケーション層 トランスポート層 トランスポート層 ネットワーク層 ネットワーク層 ネットワーク層 データリンク層 データリンク層 データリンク層 物理層 物理層 物理層 Ｈ Ｒ Ｒ Ｈ エンド システム （ホスト） エンド システム （ホスト） ネットワーク

12 アプリケーション層 アプリケーション層 アプリケーション層 トランスポート層 トランスポート層 トランスポート層 ネットワーク層 ネットワーク層 ネットワーク層 データリンク層 データリンク層 データリンク層 物理層 物理層 物理層 Ｈ Ｎ Ｈ エンド システム （ホスト） エンド システム （ホスト） 素朴な ＮＡＴ装置

13 素朴なＮＡＴ アドレスをつけかえ ＩＰヘッダーをいじるだけ？ トランスポートヘッダーのチェックサムも変更
送信者、受信者アドレス、チェックサム あまりエンドツーエンド原理違反ではない？ ペイロードにあるアドレスは変換できない ＦＴＰ、ＩＣＭＰ等、アプリケーション毎には対応せず トランスポートヘッダーのチェックサムも変更 ＮＡＴ装置はトランスポートプロトコル（のチェックサムの計算方法）も知る必要 新たなトランスポートプロトコルはＮＡＴ装置をとおらない

14 ４バイト ４ ヘッダ長 パケット長 その他情報 ＩＰ（３層）ヘッダ ６ ヘッダーチェックサム 送信者アドレス 受信者アドレス
オプション（可変長、普通は存在しない） 送信者ポート番号 受信者ポート番号 トランスポート （４層）ヘッダ シーケンス番号 アクノレッジ番号 オフセット 未使用 フラグ ウィンドウ チェックサム アージェントポインタ オプション、、、 データ ＩＰｖ４　ＴＣＰ　パケットフォーマット

15 ４バイト ４ ヘッダ長 パケット長 その他情報 ＩＰ（３層）ヘッダ １７ ヘッダーチェックサム 送信者アドレス 受信者アドレス オプション（可変長、普通は存在しない） 送信者ポート番号 受信者ポート番号 トランスポート （４層）ヘッダ 長さ ペイロード チェックサム ＩＰｖ４　ＵＤＰ　パケットフォーマット

16 アプリケーション層 アプリケーション層 アプリケーション層 トランスポート層 トランスポート層 トランスポート層 ネットワーク層 ネットワーク層 ネットワーク層 データリンク層 データリンク層 データリンク層 物理層 物理層 物理層 Ｈ Ｎ Ｈ エンド システム （ホスト） エンド システム （ホスト） 素朴な ＮＡＴ装置

17 ＮＡＴによるアドレスの節約 プライベートＩＰ網内のホストのうち 動作しているものにだけグローバルアドレスを割り当て
どのホストが動作しているか判断できない タイムアウトにより管理？ 不正確 ＴＣＰパケットを監視して、開始、終了を判断 ＵＤＰには無力 ＵＤＰ上のアプリケーションごとに対応

18 アプリケーション層 アプリケーション層 アプリケーション層 トランスポート層 トランスポート層 トランスポート層 ネットワーク層 ネットワーク層 ネットワーク層 データリンク層 データリンク層 データリンク層 物理層 物理層 物理層 Ｈ Ｎ Ｈ エンド システム （ホスト） エンド システム （ホスト） 接続の管理 ＮＡＴ装置

19 本格的なＮＡＴ 各種アプリケーションプロトコルに対応して接続を管理 ＩＣＭＰメッセージは適宜変換 ＦＴＰのコマンド列中のアドレスも変換
各種ＵＤＰプロトコルにも対応 ポート番号まで変換 常時接続では、アドレス使い回しは節約にならず １つのグローバルアドレスを、複数のホストで共有

20 ＮＡＴの問題点 新たなアプリケーションごとにＮＡＴ装置の対応が必要 エンドツーエンド原理違反 新たなアプリケーションは実質的に導入不可
遅い（パケットの内容の監視は大変） 冗長性なし、負荷が集中 複数のＮＡＴ装置を並列に置いても 相互の接続の管理に整合性がとれない

21 Ｎ 接続管理表 ＮＡＴ装置 Ｈ Ｎ Ｈ 接続管理表 同期の維持は 事実上不可能 ＮＡＴ装置 複数のＮＡＴ装置の利用

22 ＮＡＴとセキュリティ（？） ＮＡＴ装置では、特定のポート番号しか通さない等各種の設定が可能 あぶないプロトコルはとおさない
どうしても必要なプロトコル（ＳＭＴＰ、ＨＴＴＰ）も、特定のホスト（プロキシ）にしか通さない アドレスの節約にもなる 他のホストはプロキシ上のアプリケーションゲートウェーを利用 それ以外のプロトコルは利用不可能

23 インターネットセキュリティの 本質 エンドツーエンドセキュリティ すべてのエンド（アプリケーション）をセキュアーに
インターネットの基本原理がエンドツーエンド原理 すべてのエンド（アプリケーション）をセキュアーに 王道はない 魔法もない

24 ＮＡＴを受け入れるということは ＮＡＴはＩＰ網間の装置 ＮＡＴ対応プロトコルは、ＩＰヘッダ以外にＩＰアドレスを含まない ＩＰは不要
ＩＰなら、まあよかろう？ ＮＡＴ対応プロトコルは、ＩＰヘッダ以外にＩＰアドレスを含まない ＮＡＴ対応プロトコルは、ＩＰ網以外でも動作 網がＩＰである意味はない ｉＭＯＤＥ等 ＩＰは不要

25 世の中 データ リンク層 データ リンク層 データ リンク層 Ｒ Ｒ プライ ベート ＩＰ網 Ｎ データ リンク層 電話網 （ｉモード等） Ｍ Ｒ ：ルータ Ｎ ：ＮＡＴ装置 Ｍ ：メイルゲートウェイ 現在の電子メイル環境

26 インターネットと網の構造 インターネットの例 ダイアルアップインターネット インターネットでない例 ｉモード ＮＡＴ

27 世の中 データ リンク層 データ リンク層 データ リンク層 Ｒ Ｒ プライ ベート ＩＰ網 Ｎ データ リンク層 電話網 （ｉモード等） Ｗ Ｒ ：ルータ Ｎ ：ＮＡＴ装置 Ｗ ：ウェブゲートウェイ 現在のウェブ環境

28 利用者 低速 従量制課金 高速 定額制 （携帯）電話網 直接的 インター ネット利用 ダイアル アップ インターネット ｉＭＯＤＥ Ｇ インターネット Ｇ ：網間接続装置 図　電話網とインターネット

29 インターネットと 新しいアプリケーションの作り方
プロトコルを設計する ホスト上に実装する

30 アプリケーションゲートウェイと新しいアプリケーションの作り方
プロトコルを設計する ホスト上に実装する アプリケーションゲートウェイ上に実装する 網事業者側の対応が必要 アプリケーションごとの個別対応が必要

31 アプリケーションゲートウェイと アプリケーションの発展
かっては電子メイルが主流 インターネットとは電子メイルのことである 現在はウェブが主流 インターネットとはウェブのことである アプリケーションゲートウェイはＳＭＴＰやＨＴＴＰやＤＮＳには対応 新たなアプリケーションはＨＴＴＰ上に作成？ あぶないアプリケーションも動作可能

32 インターネットの崩壊 Ｒｅｎｕｍｂｅｒｉｎｇは受け入れられない ＮＡＴの発達 ＤＨＣＰ／ＰＰＰによるアドレス割り当ての発達
常時接続性の喪失 少数の常時接続サーバによるプロキシー ダイアルアップクライアント Ｅｎｄ　ｔｏ　Ｅｎｄ原理の崩壊 ＮＡＴの発達 Ｇｌｏｂａｌ　Ｃｏｎｎｅｃｔｉｖｉｔｙ原理の崩壊

33 悪循環（現実） ＮＡＴがはびこるとＩＰｖ４アドレス空間はぎりぎり枯渇しない ＮＡＴはインターネットを崩壊させる
ＩＰｖ４アドレス空間がぎりぎり枯渇しないならＩＰｖ６は普及しない ＩＰｖ６が普及しないので、ぎりぎりのＩＰｖ４のアドレス空間割り当ては慎重になる ＩＰｖ４アドレスが割り当てられないと、ＮＡＴがはびこる ＮＡＴはインターネットを崩壊させる

34 ＩＰ ｏｖｅｒ ＨＴＴＰ ＩＰ ｏｖｅｒ ＤＮＳ プライベートインターネット内部で動作 インターネット側の協力ホストとＨＴＴＰやＤＮＳで通信
ＩＰ　ｏｖｅｒ　ＨＴＴＰ ＩＰ　ｏｖｅｒ　ＤＮＳ プライベートインターネット内部で動作 インターネット側の協力ホストとＨＴＴＰやＤＮＳで通信 ＨＴＴＰやＤＮＳにＩＰパケットを載せる 最近話題のＳＯＦＴＥＴＨＥＲはＥｔｈｅｒｎｅｔ　ｏｖｅｒ　ＨＴＴＰ等

35 ＤＨＣＰ （Ｄｙｎａｍｉｃ Ｈｏｓｔ Ｃｏｎｆｉｇｕｒａｔｉｏｎ Ｐｒｏｔｏｃｏｌ、 ＲＦＣ２１３１）
ＤＨＣＰ　（Ｄｙｎａｍｉｃ　Ｈｏｓｔ　Ｃｏｎｆｉｇｕｒａｔｉｏｎ　Ｐｒｏｔｏｃｏｌ、　ＲＦＣ２１３１） ＤＨＣＰサーバが、ホスト（ＤＨＣＰクライアント）のＩＰアドレス等の設定情報を供給 ＵＤＰによるリンクブロードキャストを利用して管理の手間を軽減 サーバ側の管理は必須 セキュアと仮定できるリンクでのみ有効 暗号を利用するとクライアントにあらかじめ鍵を設定することは必須

36 ＤＨＣＰ　（２） 前身はＢＯＯＴＰ ディスクレスサーバ（ローカルには状態なし）の立ち上げ 現在の主目的はアドレスの動的割り当て

37 ＤＨＣＰ　Ｄｉｓｃｏｖｅｒ ブロードキャスト ＤＨＣＰ　Ｏｆｆｅｒ ＤＨＣＰ　Ｏｆｆｅｒ ＤＨＣＰ　Ｒｅｑｕｅｓｔ ＤＨＣＰ　Ａｃｋ ＤＨＣＰ クライアント ＤＨＣＰ サーバ ＤＨＣＰ サーバ

38 ＤＨＣＰのパケット形式（１） アドレスがわからない場合 ＵＤＰ 受信者アドレスはブロードキャストアドレス 送信者アドレスは０．０．０．０
ＤＨＣＰ　Ｄｉｓｃｏｖｅｒのみ 送信者アドレスは０．０．０．０ アドレス取得後はそれを利用 ＵＤＰ サーバポート番号６７ クライアントポート番号６８

39 ＤＨＣＰのパケット形式（２） | op (1) | htype (1) | hlen (1) | hops (1) | | xid (4) | | secs (2) | flags (2) | | ciaddr (4) | | yiaddr (4) | | siaddr (4) | | giaddr (4) | | |

40 ＤＨＣＰのフィールド（１） ｏｐ ｈｔｙｐｅ ｈｌｅｎ ｈｏｐｓ １：リクエスト、２：リプライ ハードウェアタイプ（１＝１０Ｍイーサ）
ＭＡＣ（ハード）アドレス長（イーサは６） ｈｏｐｓ リレーされた場合のホップ数（最初は０）

41 ＤＨＣＰのフィールド（２） ｘｉｄ ｓｅｃｓ ｆｌａｇｓ ｃｉａｄｄｒ トランザクションＩＤ 最初に要求して以来の秒数 フラグ
クライアントのＩＰアドレス

42 ＤＨＣＰのフィールド（３） ｙｉａｄｄｒ ｓｉａｄｄｒ ｇｉａｄｄｒ クライアントに割り当てたＩＰアドレス サーバのＩＰアドレス
リレーのＩＰアドレス

43 ＤＨＣＰのパケット形式（３） | giaddr (4) |
| | | chaddr (16) | | sname (64) | | file (128) | | options (variable) |

44 ＤＨＣＰのフィールド（４） ｃｈａｄｄｒ ｓｎａｍｅ ｆｉｌｅ ｏｐｔｉｏｎｓ ＭＡＣ（ハードウェア）アドレス サーバーホスト名（文字列）
設定ファイル名（文字列） ｏｐｔｉｏｎｓ オプション列

45 ＤＨＣＰとＤＮＳ（１） インターネットのホストはＤＮＳにより ＤＨＣＰで得たＩＰアドレスのＤＮＳ登録は？
ホスト名ー＞ＩＰアドレスを変換（正引き） ＩＰアドレスー＞ホスト名を変換（逆引き） ＤＨＣＰで得たＩＰアドレスのＤＮＳ登録は？ ＤＤＮＳ（ＲＦＣ２１３６）により可能 問題はセキュリティ 逆引きはＤＨＣＰサーバの責任で 正引きはホストの責任で（鍵の設定は？）

46 ＤＨＣＰとＤＮＳ（２） ＤＮＳサーバのアドレスをどう設定？ （ＩＰｖ６では）ＮＤによる割り当て ＤＨＣＰによる割り当て
ＮＤになんでもやらせすぎ そもそもＮＤが常に利用可能とは限らない ＤＨＣＰによる割り当て ＤＨＣＰが利用可能なら適切 ＡＮＹＣＡＳＴによる割り当て どこでも利用可能 ＤＨＣＰ等による上書きも可能

47 まとめ これまでのＮＡＴは ＤＨＣＰは エンドツーエンドモデル違反 新たなアプリケーションが育たない
実は、問題ないＮＡＴも可能で、ＩＰｖ６も不要 詳しくはおまけで ＤＨＣＰは それなりに使える コンフィギュレーション不要は幻想

48 太田昌孝 東京工業大学情報理工学研究科 mohta@necom830.hpcl.titech.ac.jp
エンドツーエンドＮＡＴ 太田昌孝 東京工業大学情報理工学研究科

49 ＩＰアドレスが足りない！！ それでもＩＥＴＦなら、、、ＩＥＴＦならきっと何とかしてくれる！？ いまだに、何ともなっていない、なりそうもない
ＮＡＴによるアドレス節約 エンドツーエンドインターネットを破壊 いろんなプログラムが、まともに動作しない ＩＰｖ６によるアドレス拡張 実運用を考えない政治的妥協の産物 オプションヘッダ、ＰＭＴＵＤ、Ｓｔａｔｅｌｅｓｓ　ＡＣ、Ｌｉｎｋ　Ｌｏｃａｌ　Ａｄｄｒｅｓｓ等有害無益な機能を盛込み過ぎ

50 ＳＡＬＴＺＥＲ等の原論文での エンドツーエンド論法 http://groups. csail. mit
ＳＡＬＴＺＥＲ等の原論文での エンドツーエンド論法 The function in question can completely and correctly be implemented only with the knowledge and help of the application standing at the end points of the communication system. Therefore, providing that questioned function as a feature of the communication system itself is not possible. (Sometimes an incomplete version of the function provided by the communication system may be useful as a performance enhancement.)

51 背景 エンドツーエンド論法によると、 ならば、逆は成り立つのか？
NAT can completely and correctly be implemented only with the knowledge and help of the application standing at the end points of the communication system エンドホストの知識と助けを利用していない今のＮＡＴは、不完全で不正確でエンドツーエンド透過性をもたない ならば、逆は成り立つのか？ With the knowledge and help of the application standing at the end points of the communication system Can NAT be implemented completely and correctly?

52 レガシーＮＡＴ 他のエンドホスト とのポート衝突の 可能性 レガシー ＮＡＴ (アドレス、ポート、 チェックサムの 双方向の変換) エンド
ほぼ 不可視 エンドホストは 助けようがない パブリックインターネット プライベートＩＰ網

53 エンドツーエンドＮＡＴ ー ＮＡＴの存在を端に積極的に見せる ー
エンドツーエンドＮＡＴ ー　ＮＡＴの存在を端に積極的に見せる　ー プライベート網内の端末にＮＡＴＧＷの知る 各端末で共有するパブリックアドレス 各端末に割り当てたポートの範囲 ＮＡＴＧＷとの通信方法（アドレス、ポート） 等の情報を、ＤＨＣＰやＰＰＰ等で通知 各端末は 自らの知識により、ＮＡＴ動作が完全かつ正確なものになるように、補完する

54 エンドツーエンドＮＡＴの動作 ＮＡＴゲートウェイ ＮＡＴ背後のエンドホスト
受信者ポート番号により、パケットの受信者アドレスをパブリックアドレスから変換 ポートやトランスポートチェックサムは変換せず ＮＡＴ背後のエンドホスト 受信者アドレスをパブリックアドレスに逆変換 トランスポートチェックサムは正しくなる 送信者ポート番号を、エンドホストに割り当てられたものに制限

55 Private IP (transport checksum not verified)
エンドツーエンドＮＡＴの レイヤー構造 Information on NAT Application Relays DHC S DHC C Applications Transport UDP UDP Transport Public IP Public IP Public IP Private IP (transport checksum not verified) No address translation for outgoing packets (except for ICMP error) Address translation for incoming packets with public source addresses NAT GW DHC Server End System : The Global Internet : Private IP Network

56 レガシーＮＡＴ 他のエンドホスト とのポート衝突の 可能性 レガシー ＮＡＴ (アドレス、ポート、 チェックサムの 双方向の変換) エンド
ほぼ 不可視 エンドホストは 助けようがない パブリックインターネット プライベートＩＰ網

57 エンドツーエンドＮＡＴ 受信者アドレスの 逆変換 エンドツーエンド ＮＡＴ （パケットの 受信者アドレス のみを変換） エンド ホスト
ＮＡＴ情報を 知らせる ソースポート 番号の制限 パブリックインターネット プライベートＩＰ網

58 エンドツーエンドＮＡＴ背後の エンドホストは インターネット直結と等価
受信者ポート 番号の制約 End Host 送信者ポート 番号の制約 パブリックインターネット

59 エンドツーエンドＮＡＴの性質 完全なエンドツーエンド透過性 多段ネスティング可能 コンパチビリティも豊富 ポート番号か同等物さえ存在すれば
ｆｔｐのポートコマンドも自然にＮＡＴを超える 多段ネスティング可能 コンパチビリティも豊富 レガシーＮＡＴ、 ＩＣＭＰ、（ポート番号も含め）ＤＮＳ逆引き、 マルチキャスト、モビリティ（ポート単位の移動のため要拡張）、ＩＰＳＥＣ、、、

60 スタティックＮＡＴと ダイナミックＮＡＴ スタティックＮＡＴ ダイナミックＮＡＴ 各端末に固定したポート範囲を割り当て
ポート数が多ければ（数百？）、これで十分 端末は自己に割り当てられたポートのみをソースポートとして使う。返事が貰えないので、偽装は無理。 ダイナミックＮＡＴ 各端末は、ポート番号を随時ＮＡＴＧＷに要求 ＮＡＴＧＷのポート割当状態は、端末主導で更新 タイムアウト、複数ＧＷ間整合性等の問題は解消

61 固定ポートでのＥ２ＥＮＡＴと ポートフォワーディングとの違い
ポートフォワーディングでは 一部のポートを特定の端末に固定割当 旧来のＮＡＴが、トランスポート層で中継 スタティックＮＡＴ同様、端末はサーバ動作可能？ 実は透過性は無く、クライアントすらまともに動かない Ｅ２ＥＮＡＴでは 端末の助けにより、完全なＥ２Ｅ透過性を実現

62 エンドツーエンドＮＡＴと ポート番号 ＵＲＬやＤＮＳ ＳＲＶで、デフォールト以外のポート番号を指定可
ＵＲＬやＤＮＳ　ＳＲＶで、デフォールト以外のポート番号を指定可 Ｅ２ＥＮＡＴはほぼＩＰ層だけで動作するが 受信者ポート番号はＩＰヘッダの外にある 純トランスポートプロトコルでは、ＩＰヘッダ直後１６ビットが送信者ポート、次１６ビットが受信者ポート ＩＣＭＰの仕様から、ＩＣＭＰ以外は、送信者ポート番号は、ＩＰヘッダ直後の８バイトに含まれるはず ポート番号は、ＩＰヘッダ直後８バイト内の２バイト境界間の１６ビットと決め打ちしてもよさそう（ＩＰＳＥＣも対応可）

63 ＳＲＶ ＲＲ （ＲＦＣ２７８２） アプリ全般のＭＸのようなもの Name TTL Class MX Priority Target
ＳＲＶ　ＲＲ　（ＲＦＣ２７８２） アプリ全般のＭＸのようなもの Name TTL Class MX Priority Target _Service._Proto.Name TTL Class SRV Priority Weight Port Target Weightで重み、Portでポート番号が指定可 _http._tcp. SRV 0 1 9 server.example.com.

64 エンドツーエンドＮＡＴと ＩＣＭＰ 基本的にそのまま動作 ＩＣＭＰパケット自体のポート番号は？ ＩＣＭＰ内部のアドレス変換は、厳密には必要
プライベート網からパブリック網へのＩＣＭＰエラー ＩＣＭＰパケット自体のポート番号は？ ＩＣＭＰエラー 内部パケットのｓｒｃがｄｓｔ、ｄｓｔがｓｒｃ ＩＣＭＰ　ＥＣＨＯ等 ＩＤをｓｒｃ、ｓｅｑｎｏをｄｓｔとみなす

65 エンドツーエンドＮＡＴと ＩＣＭＰエラー ＩＣＭＰエラーは、エラーを起こした内部パケットの送信者ポートによりアドレス変換
ＩＣＭＰ　ＨＯＳＴ　ＵＮＲＥＡＣＨは パブリックアドレスを共有する他ホストに影響 ソフトエラーなので、気にしない ＴＣＰは接続を切らない 気を利かせたつもりでＰＯＲＴ　ＵＮＲＥＡＣＨに変換すると、ハードエラーなので悲惨

66 ＩＣＭＰ内部のアドレス変換 ｄｓｔアドレス変換済み 端末 端末 ルータ ＩＣＭＰエラー 厳密には逆変換が必要
（なくても、ｔｒａｃｅｒｏｕｔｅ は動いた） 内部パケットのｄｓｔアドレスは変換されている

67 エンドツーエンドＮＡＴと ｐｉｎｇ／ｔｒａｃｅｒｏｕｔｅ
ｐｉｎｇやｔｒａｃｅｒｏｕｔｅを動かしたい 自分に割り当てられたポート番号をソースポート（ＩＤ）に利用するよう拡張 ポート番号を指定できるよう拡張 ping ... host[:dstport[,incr[,count]]] traceroute ... [-p port[.incr]] ... host ... 各ホストに、port、port+incr、port+incr*2、、、のポートが割り当てられていると仮定

68 エンドツーエンドＮＡＴと ＩＣＭＰエコー ＩＣＭＰエコーリクエストは ＩＣＭＰエコーリプライは、逆
ＩＤとＳＥＱ＃をそれぞれ送信者と受信者のポート番号と看做し ＩＤを制約、ＳＥＱ＃でアドレス変換 ＩＣＭＰエコーリプライは、逆 ＩＤとＳＥＱ＃は、ＩＣＭＰエコーリクエストからコピーされる ＩＤを受信者ポート番号と看做しアドレス変換すれば、エコーリクエストの送信者に届く

69 エンドツーエンドＮＡＴと ＩＰＳＥＣ ＡＨもＥＳＰも３２ビットＳＰＩをＩＰヘッダ直後の８バイト以内に持つ
ＳＰＩの値を決める際、前半１６ビットを送信者が指定し、後半１６ビットを受信者が指定することとすれば 送信者ポート番号、受信者ポート番号として利用可能

70 ＡＨ （Ａｕｔｈｅｎｔｉｃａｔｉｏｎ Ｈｅａｄｅｒ） （ＲＦＣ２４０２）
ＡＨ　（Ａｕｔｈｅｎｔｉｃａｔｉｏｎ Ｈｅａｄｅｒ）　（ＲＦＣ２４０２） | Next Header | Payload Len | RESERVED | | Security Parameters Index (SPI) | | Sequence Number Field | | | Authentication Data (variable) |

71 ＥＳＰ （Ｅｎｃａｐｓｕｌａｔｉｎｇ Ｓｅｃｕｒｉｔｙ Ｐａｙｌｏａｄ） （ＲＦＣ２４０６）
ＥＳＰ　（Ｅｎｃａｐｓｕｌａｔｉｎｇ　Ｓｅｃｕｒｉｔｙ　Ｐａｙｌｏａｄ）　（ＲＦＣ２４０６） | Security Parameters Index (SPI) | ^Auth. |Cov- | Sequence Number | |erage | ---- | Payload Data* (variable) | | ^ ~ ~ | | | | |Conf. |Cov- | | Padding (0-255 bytes) | |erage* | | | | Pad Length | Next Header | v v | Authentication Data (variable) | ~ ~ | |

72 エンドツーエンドＮＡＴと アプリケーションリレー
ＤＮＳ、ＳＭＴＰ、ＨＴＴＰ等は、ＮＡＴＧＷのデフォールトポートでリクエストを受け、リクエスト中の情報（ドメイン名等）で、リクエストを端末に振り分け可 ＨＴＴＰ：のＵＲＬでのポート指定は不要に ＤＮＳやＳＭＴＰのポートはＮＳとＭＸに内包され（ＵＲＬで指定不可）、プライベート網内にサーバを置くには（置けなくても、ほとんど困らないが）、アプリケーションリレーは必須

73 エンドツーエンドＮＡＴと エンドホストのアドレス使い分け
エンドホストは、自分のパブリックアドレスとプライベート網のアドレスを知っている プライベート網へのパケットのソースアドレスはプライベートアドレスで それ以外のアドレスへのパケットのソースアドレスはパブリックアドレスで 自分のパブリックアドレスへのパケットは、自分のポート番号じゃなければ出力する

74 エンドツーエンドＮＡＴと 非対応端末 ＮＡＴＧＷ背後のＥ２ＥＮＡＴ非対応端末は 非対応端末が出したパケットに対して
ＤＨＣＰ等によるアドレス割り当ては受けても ＮＡＴ情報は理解できない 非対応端末が出したパケットに対して ＮＡＴＧＷは旧来のＮＡＴとして対応してもよい ＵＰｎＰ機能等もあってもよい Ｅ２ＥＮＡＴ対応端末との区別は ソースアドレスで判別可

75 エンドツーエンドＮＡＴの ネスト Ｅ２ＥＮＡＴＧＷはネスト可能
ＩＳＰからスタティックＮＡＴで多数（数百？）のポート番号を割り当てられた顧客は 一部をサーバで固定的に利用 一部はダイナミックＮＡＴＧＷの外側に割当 ダイナミックＮＡＴ背後にネストしたプライベートネットワーク内の多数の端末で、ポート番号をダイナミックに共有

76 エンドツーエンドＮＡＴと 逆引き 共有アドレスは普通に逆引き可能 ポート別の逆引きは以下のように可能
A in-addr.arpa PTR ポート別の逆引きは以下のように可能 p1.example.org CNAME in-addr.arpa PTR p1.example.org p2.example.org CNAME in-addr.arpa PTR p2.example.org ＰＴＲがＣＮＡＭＥを指すことは、ＰＴＲから先の自動参照の懸念（ＲＦＣ１０３４）はないので、問題ではない

77 エンドツーエンドＮＡＴと マルチキャスト マルチキャストアドレスは、内外で共通 プライベート網内の端末が送信する場合
マルチキャスト経路制御にはソースアドレスへの経路が影響するので マルチキャストパケットはＮＡＴＧＷが出すべき 端末は、送信すべきパケットを、ＩＰ　ｏｖｅｒ　ＩＰで、ＮＡＴＧＷへ転送 ＰＩＭの仕組みでも使えばよい

78 エンドツーエンドＮＡＴと モビリティ ホームアドレスがＮＡＴ背後にいる場合 ＭＨがＮＡＴ背後にいる場合
ＮＡＴ情報をＭＨに設定（静的設定で十分） ホームＮＡＴＧＷとの通信は、ＨＡが中継 ＭＨがＮＡＴ背後にいる場合 フォーリンアドレスとホームアドレスで、使えるポートは一般には一致しない ＨＡ－＞ＭＨのトンネルをＩＰ　ｏｖｅｒ　ＵＤＰ　ｏｖｅｒ　ＩＰにすれば、解決 フォーリンポートは一個で十分（アドレス節約）

79 Ｅ２ＥＮＡＴとＰＲ－ＩＰ （Ｐｏｒｔ Ｒｅｓｔｒｉｃｔｅｄ ＩＰ）
Ｅ２ＥＮＡＴとＰＲ－ＩＰ （Ｐｏｒｔ　Ｒｅｓｔｒｉｃｔｅｄ　ＩＰ） IPv4 Backbone PR-IP Host dependent delivery packet port PR-IP Host PR-IP GW PR-IP Host PR-IP Host source port numbers must be restricted

80 PR-IP with A+P (Address+Port)
point to point links IPv4 Backbone PR-IP Host PR-IP Host PR-IP GW PR-IP Host P2P link is chosen depending on port numbers PR-IP Host Delivery is over P2P links chosen by PR-IP GW

81 PR-IP with Port Enhanced ARP
a link segment with enhanced ARP IPv4 Backbone PR-IP Host PR-IP Host PR-IP GW PR-IP Host ARP request include port numbers PR-IP Host reply ARP with port numbers of PR-IP host Delivery is by MAC address returned by PR-IP host through PE-ARP

82 PR-IP with End to End NAT
IPv4 Backbone no port translations nor transport checksum recalculations Private IPv4 Network PR-IP Host PR-IP Host PR-IP GW PR-IP Host private address is chosen depending on port numbers PR-IP Host translated addresses are translated back by PR-IP hosts Delivery is by private IP addresses translated by PR-IP GW

83 実装 ＮｅｔＢＳＤ５．１ベース、静的のみ 本質的改造は、 アドレス変換と逆変換のため ソースアドレスとソースポートの制限のため
端末のｉｐ＿ｉｎｐｕｔ．ｃへの数行の追加 ＧＷのｉｐ＿ｉｎｐｕｔ．ｃの数十行の追加 ソースアドレスとソースポートの制限のため 端末とＧＷのｉｎ＿ｐｃｂ．ｃ等の数百行の追加 端末とＧＷのｉｐ＿ｏｕｔｐｕｔ．ｃの数行の追加 ＮＩＣにトランスポートチェックサム計算をやらせない

84 エンドツーエンドＮＡＴの デモ環境 ｓｓｈでログイン可能（ｇｕｅｓｔ、ｇｕｅｓｔ） ｅ１、ｅ２、ｅ３のポート番号は１００、１５０、１００
public internet | | | enatg enatg2 | | | | | enate e2enatgwp enate3 (port 100, 200, ..., | (port 100, 200, ..., of ) of ) | enate2 (port 150, 250, 350, .., of )

85 エンドツーエンドＮＡＴと フラグメンテーション
ＩＰフラグメンテーションでは ＩＤはパケットの寿命の間は、ｄｓｔアドレス毎にユニークなはず 各エンドがばらばらに割り当てるＩＤは偶然衝突することもある 実際にはトランスポートチェックサムで救済 １６ビットのＩＤではどうせ不十分なので、気にしてもしょうがない １５００Ｂ、寿命６０秒で、１３Ｍｂｐｓで破綻

86 エンドツーエンドＮＡＴと アドレス分配ポリシー
Ｅ２ＥＮＡＴは、現状のインターネット環境をエンドツーエンド透過性も含めほとんど全て保ちながら、アドレスを大幅に節約 Ｅ２ＥＮＡＴをアドレス分配の前提にすべき ＩＳＰの労力は？ どう考えても、ＩＰｖ６とのデュアル運用より少ない 特に、アドレスが暗記できるのは、非常に重要 クラスＥアドレスも利用すべき

87 エンドツーエンドＮＡＴと クラスＥアドレス
クラスＥアドレスは、長持ちしない！？ Ｅ２ＥＮＡＴによるアドレス節約前提なら 移行期間の後、クラスＥアドレスをユニキャストに使う意味はある Ｅ２ＥＮＡＴ対応には端末の改造が必須なので 同時にクラスＥ対応にすればよい ＩＳＰやルータや既存の端末が対応しないと相互接続性が、、、 ＩＰｖ６対応よりは、はるかに簡単（特にＩＳＰやルータ）

88 エンドツーエンドＮＡＴと プリフィックス 大域経路表に／２４より長いのが増える？
１６００万あれば十分（というか多すぎ） どのみち、ＩＰｖ６では、大域経路表プリフィックス数の抑制の試みは崩壊 ＩＰで時間を稼いで エンドツーエンドマルチホーミングを実現

89 エンドツーエンドＮＡＴと エンドユーザー Ｅ２ＥＮＡＴの導入によりエンドユーザーは サーバーもクライアントも今と同様に動作
ＩＰｖ６対応は不要に アドレス（とポート）は、普通の人でも暗記可能 ｈｔｔｐのＵＲＬではポート指定不要 既存ユーザーはそのままで、新規ユーザーは （旧来のＮＡＴ環境が嫌なら）端末改造が必要 このまま旧来のＮＡＴ導入するより、遥かによい

90 Tokyo Institute of Technology
TCP and UDP with Port Length Enhancement (TUPLE) -- A Scribbled Slate Approach for Internet Addressing and Routing -- Masataka Ohta Tokyo Institute of Technology

91 TUPLE (TCP and UDP with Port Length Enhancement ) -- A Scribbled Slate Approach for Internet Addressing and Routing -- TCP and UDP with 6B port numbers and extended transport option field length of “Data Offset” field of TCP is extended unused UDP “Length” field is used as “Data Offset” the option field may contain alternative source addresses for better aggregation Named after TUBA (was an IPng candidate) “TCP and UDP with Bigger Addresses (TUBA), A Simple Proposal for Internet Addressing and Routing” (RFC1347) Port numbers of other protocols may also be enhanced

92 Header Format of the Current TCP
SRC port DST port Flags & Reserved bits Sequence Number Acknowledgment Number Data Offset Window Checksum Urgent Pointer Options & Padding (at most 40B long)

93 Header Format of TUPLE TCP
SRC port H DST port H SRC port M DST port M SRC port L DST port L Flags & Reserved Sequence Number Acknowledgment Number Data Offset Window Checksum Urgent Pointer Options & Padding (at most 972B long)

94 Header Format of the Current UDP
SRC port DST port Length Checksum Not necessary

95 Header Format of TUPLE UDP
SRC port H DST port H SRC port M DST port M SRC port L DST port L Reserved Data Offset Checksum Options & Padding (at most 1004B long)

96 Packet Format of the Current ICMP ECHO Request & Reply
Type Checksum Identifier Sequence Number IP Header Code Data (variable length)

97 Packet Format of TUPLE ICMP ECHO Request
Type (8) Checksum SRC port H DST port H IP Header Code Remaining Data (variable length) SRC port M DST port M SRC port L DST port L

98 Packet Format of TUPLE ICMP ECHO Reply
Type (0) Checksum DST port H SRC port H IP Header Code Remaining Data (variable length) DST port M SRC port M DST port L SRC port L

99 太田昌孝 東京工業大学情報理工学研究科 mohta@necom830.hpcl.titech.ac.jp
Almost End to End NAT 太田昌孝 東京工業大学情報理工学研究科

100 旧来のNATのレイヤ構造 NAT unaware public application 双方向のアドレス，ポート，チェックサム変換
transport private transport private transport public IP private IP private IP private IP private IP datalink datalink : public Internet : private IP network

101 End to End NAT NATの機能をなるべく端末に負わせる NATゲートウェイではほとんど何もしない
ポート番号により受信者アドレスを変換するだけ ポート番号やトランスポートチェックサムはそのまま 端末では、受信者アドレスを元に戻す トランスポートチェックサムは、自動的に正しくなる 端末が送信するパケットの送信者アドレスは、グローバルアドレス、送信者ポート番号はその端末に割り当てられたポート番号に限定 ポート番号の衝突はなく、ポート変換の必要なし

102 エンドツーエンドNATの レイヤ構造 インターネットからのパケットの受信者アドレス逆変換 送信パケットの送信者ポート番号制限 public
application インターネットからのパケットの，送信者 ポート番号に応じた受信者アドレス変換 public transport public transport private transport public IP public IP private IP private IP private IP private IP datalink datalink : public Internet : private IP network

103 End to End NATの特長と問題点 全てのトランスポート層プロトコルが動作 普及させるのは容易ではない！！
ポート番号さえあれば（ICMP　EchoのIDやSeq. No、IPSECのSPI等もポート番号とみなせる） 普及させるのは容易ではない！！ NATゲートウェイの改造が必要 旧来のNATゲートウェイとの両立も可能だが、、、 端末の構成情報（グローバルアドレス、割り当てられたポート）をどう与えるか？ 新たなプロトコルが必要？IETFのPCP？

104 UPnP (Universal Plug and Play)
端末の自動構成のためのシステム 端末がNAT越えするために、ポートマッピング情報を得るプロトコルを含む WANIPConnectionサービスについての規定 端末上のアプリケーションを、UPnPに対応したものに改造することを想定 多くのNATゲートウェイで実装されている トランスポート層としては、TCPとUDP（とICMP）にのみ対応

105 旧来のNATのレイヤ構造 NAT unaware public application 双方向のアドレス，ポート，チェックサム変換
transport private transport private transport public IP private IP private IP private IP private IP datalink datalink : public Internet : private IP network

106 UPnPの想定する レイヤ構造 UPnP NAT越えのためのやりとり UPnP aware private application
双方向のアドレス，ポート，チェックサム変換 UPnP public transport private transport NAT越えのためのやりとり private transport public IP private IP private IP private IP private IP datalink datalink : public Internet : private IP network

107 UPnPと End to End Argument
with the knowledge and help of the application standing at the end points of the communication ではあるが、アプリケーションで対応すると、 アプリケーションの変更が必要で、ださい End to End Argument当時のスタックは未分化で、今のアプリケーション層ではない もっと下の層でなんとかしてもいい

108 Almost End to End NAT UPnP GWを利用したEnd to End NAT
アプリケーションに見える自分のアドレスはグローバルアドレス、送信者ポート番号はその端末に割り当てられたポート番号に限定 アプリケーションの改造は、一切不要 アプリケーションが使えるポート番号と数は制約されるが TCP、UDPとICMP）しか使えないので、Almost

109 Almost End to End NATの レイヤ構造
双方向のアドレス，ポート，チェックサム逆変換 public application 送信パケットの送信者ポート番号制限 双方向のアドレス，ポート，チェックサム変換 public transport UPnP public transport private transport private transport 構成情報の提供 public IP private IP private IP private IP private IP datalink datalink : public Internet : private IP network

110 Almost End to End NATの特長
UPnP対応の既存NATゲートウェイがそのまま使える ゲートウェイ構成情報は、UPnPで取得可 グローバルアドレス：GetExternalIPAddress() ポート変換情報：GetListOfPortMappings() UPnP第一版では、GetGenericPortMappingEntry() 端末側の実装は、NetBSD5.1上のEnd to End NATの実装を手直しすれば、容易 ゲートウェイ上でポート番号を変換しなければ

111 NATによるポート番号不足？ サーバが受けるポートは一つでいいが、クライアントがサーバに多数の要求を出すポートは多数必要？
実際、Google Mapはポート番号を大量消費 適切な実装により、回避可能 実装が、ポート番号の一時的な不足（旧来のNATでは不可知だが、(Almost) End to End NATではEAGAINのエラー）に適切に対処すればよい クライアントの送信者ポートは、setsockoptでREU SEPORTを設定すれば、多数のconnectで共有可 ソケットを共有ポートにbindしてから、connect

112 結論 Almost End to End NATにより： IPv4アドレス空間は、当分保つ 今後の課題は、URL全般へのSRVの導入
既存のUPnP対応NATゲートウェイ背後の端末上で、UPnP非対応のTCP/UDP上のアプリケーションが、End to End透過性を保ちつつ動作可 IPv4アドレスの金銭取引で価格が高騰すれば、このような技術への追い風となる IPv4アドレス空間は、当分保つ その間にクラスEを解放すれば、更に長く保つ 今後の課題は、URL全般へのSRVの導入

113 まとめ Ｅ２ＥＮＡＴは、現状のインターネット環境をエンドツーエンド透過性も含めほとんど全て保ちながら、アドレスを大幅に節約
Ｅ２ＥＮＡＴ前提のアドレス管理により、ＩＰアドレス空間は（クラスＥも使えばなおさら）当分持つ ＩＰｖ６？なにそれ？